“极速波”(I-Worm/Zotob)专杀

傲天♂浪子追风

软件名称：“极速波”(I-Worm/Zotob)专杀
软件大小：205 KB
查杀引挚：1.0版
操作系统：Win2003/XP/2000/NT/9x/ME
更新日期：2005.02.17
推荐级别：
发布公司:江民科技 “极速波”(I-Worm/Zotob)介绍： 利用微软“即插即用服务代码执行漏洞”（MS05-039）的蠕虫病毒I-Worm/Zotob。该病毒利用最新漏洞传播并且可以通过IRC接受黑客命令，使被感染计算机被黑客完全控制。病毒具体技术特征如下：1.病毒运行后，将创建下列文件：%SystemDir%\botzor.exe,22528字节 病毒名称：极速波（I-Worm/Zobot） 病毒类型：蠕虫、后门 病毒大小：22528字节 传播方式：网络 危害程度：★★★ 2005年8月15日，江民反病毒中心截获一个利用微软“即插即用服务代码执行漏洞”（MS05-039）的蠕虫病毒I-Worm/Zotob。该病毒利用最新漏洞传播，并且可以通过IRC接受黑客命令，使被感染计算机被黑客完全控制。 病毒具体技术特征如下： 1. 病毒运行后，将创建下列文件： %SystemDir%\botzor.exe, 22528字节 2. 在注册表中添加下列启动项： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WINDOWS SYSTEM" = botzor.exe [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "WINDOWS SYSTEM" = botzor.exe 这样，在Windows启动时，病毒就可以自动执行。 3. 通过TCP端口8080连接IRC服务器，接受并执行黑客命令。可导致被感染计算机被黑客完全控制。 4. 在TCP端口33333开启FTP服务，提供病毒文件下载功能。利用微软即插即用服务远程代码执行漏洞（MS05-039）进行传播。如果漏洞利用代码成功运行，将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行，未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。 5. 修改%SystemDir%\drivers\etc\hosts文件，屏蔽大量国外反病毒和安全厂商的网址。并有下列文本： MSG to avs: the first av who detect this worm will be the first killed in the next 24hours!!! 针对该病毒，KV杀毒软件在8月15日升级病毒库后可以查杀。江民公司提醒广大用户，请注意及时升级病毒库，开启实时监控，立刻安装微软的安全补丁。保护您的系统不受此病毒的威胁。